【図解】VPN・IPsec・RADIUSとは？リモートアクセスのセキュリティ技術の全体像をわかりやすく解説

「VPN、IPsec、RADIUS、CHAP…」
テレワークやリモートアクセスの普及でよく耳にするこれらの言葉。一つひとつの意味はなんとなく分かっても、全体として「どの技術が、どの場面で、何をしているのか」が繋がりづらく、頭の中がごちゃごちゃになってしまうことはありませんか？

この記事は、そんなあなたのために書きました。

この記事を読めば、リモートアクセスという大きな地図の上で、それぞれのセキュリティ技術がどの役割を担っているのかがスッキリと整理できます。まるで、複雑な交差点を上から眺めるように、通信の安全を守る仕組みの全体像が掴めるようになるでしょう。

今回は、まずリモートアクセスの基本となる「トンネル」の考え方から始め、次にそのトンネルを通るための「本人確認」、そしてその本人確認を効率化・強化するための「仕組み」へと、順を追って解説していきます。難しい専門用語も、「宅配便」や「会員制の施設」といった身近な例えを使いながら、一つひとつ丁寧に解きほぐしていきますので、ご安心ください。

さあ、一緒にリモートアクセスの世界を探検し、セキュリティの仕組みをマスターしましょう。

1 VPNとトンネリングの基本│安全なリモートアクセスの土台を築く技術
- 1.1 トンネルを作るためのプロトコル（通信ルール）たち
2 認証プロトコル入門│VPNトンネルの入口で行う本人確認（PAP・CHAP）
- 2.1 PAPとCHAPの違いは「パスワードの送り方」
  - 2.1.1 PAP (Password Authentication Protocol)
  - 2.1.2 CHAP (Challenge Handshake Authentication Protocol)
3 認証サーバーの役割と仕組み│RADIUS・DIAMETERで本人確認を一元管理
- 3.1 受付を専門家（RADIUSサーバー）に任せる
- 3.2 RADIUSとその後継DIAMETER
4 高度な認証ケルベロスと管理領域レルム│SSO実現の鍵
- 4.1 ケルベロス認証：一度の認証でどこでもアクセス「チケット制遊園地」
- 4.2 レルム：認証システムが管理する「縄張り」
5 総まとめ：図解でスッキリ！リモートアクセスの全体像と通信の流れ

VPNとトンネリングの基本│安全なリモートアクセスの土台を築く技術

リモートアクセスのセキュリティを理解する第一歩は、「VPN（Virtual Private Network）」を知ることから始まります。

カフェや自宅のインターネット回線は、不特定多数の人が利用する「公道」のようなものです。この公道で会社の機密情報などの重要なデータをそのままやり取りするのは、裸でお金を持ち運ぶようなもので非常に危険です。

そこで登場するのがVPNです。VPNは、この公道の中に「自分たち専用のトンネル」を作り出す技術です。このトンネルの中を通るデータはすべて暗号化されるため、たとえ途中で第三者に盗み見られても、中身を解読されることはありません。これにより、あたかも社内ネットワーク（プライベートなネットワーク）に直接つながっているかのような、安全な通信が実現できるのです。

トンネルを作るためのプロトコル（通信ルール）たち

VPNという大きな枠組みの中で、トンネルを実現するために使われる代表的なプロトコル（通信上のルール）を見ていきましょう。

プロトコル	特徴	主な用途	例え
PPP (Point-to-Point Protocol)	1対1で接続するための基本的なルール。認証やIPアドレス割り当て機能を持つ、トンネルの基本骨格。	ISDNやADSLの時代から使われている古典的な接続方法。他のプロトコルのベースになる。	電話回線で直接2地点を繋ぐイメージ。
PPPoE (PPP over Ethernet)	PPPをイーサネット（LAN）上で使えるように拡張したもの。PPPのパケットをカプセルに入れて運ぶ。	ADSLや光回線（FTTH）でのインターネット接続。	電話回線の仕組み（PPP）を、LANケーブル（Ethernet）で使えるようにする「変換アダプタ」。
PPTP (Point-to-Point Tunneling Protocol)	PPPを利用してVPNトンネルを作るためのシンプルなプロトコル。設定が簡単だが、セキュリティ強度は低いとされる。	手軽なVPN接続。しかし現在ではセキュリティ上の懸念から推奨されないことが多い。	簡易的なプレハブのトンネル。作りやすいが強度はそこそこ。
IPsec (Security Architecture for Internet Protocol)	IPパケット自体を暗号化する非常に強力なプロトコル。VPNで最も広く使われるデファクトスタンダード。	企業間の拠点接続VPNや、高いセキュリティが求められるリモートアクセスVPN。	鉄筋コンクリート製の頑丈なトンネル。建設は少し複雑だが非常に安全。
TLS (Transport Layer Security)	WebサイトのHTTPS通信で使われる暗号化技術。これを応用したVPNを「SSL-VPN」と呼ぶ。	Webブラウザさえあれば利用できる手軽なリモートアクセスVPN。	Webサイトを見るのと同じ感覚で入れる、安全な「専用通路」。

ポイント：
まず「VPN」という安全なトンネルを作る目的があり、その実現方法としてIPsecやTLS (SSL-VPN)といった頑丈な方式が主流になっている、と覚えておきましょう。PPPやPPTPは、その基礎となったり、過去に使われたりした技術という位置づけです。

認証プロトコル入門│VPNトンネルの入口で行う本人確認（PAP・CHAP）

先ほど、VPNによって安全な「トンネル」が作れることを学びました。しかし、せっかく頑丈なトンネルを作っても、誰でも自由に入れてしまっては意味がありません。会社の重要データにアクセスできるのは、許可された社員だけであるべきです。

そこで必要になるのが「認証」、つまり「あなたは本当に許可された本人ですか？」を確認する手続きです。この認証を行うための通信ルールが認証プロトコルであり、その代表格がPAPとCHAPです。

PAPとCHAPの違いは「パスワードの送り方」

PAPとCHAPの最も大きな違いは、利用者のIDとパスワードをどのようにして相手（サーバー）に伝えるかにあります。

PAP (Password Authentication Protocol)

PAPは、非常にシンプルな認証方式です。利用者（クライアント）は、ユーザーIDとパスワードをそのままの形（平文）でサーバーに送信します。

例えるなら…
ハガキにパスワードを書いて送るようなものです。手軽ですが、配達途中で誰かに盗み見られたら、パスワードが丸裸になってしまいます。
デメリット:
通信内容が暗号化されていないため、盗聴された場合にパスワードが漏洩するリスクが非常に高いです。そのため、現在ではほとんど使われません。

CHAP (Challenge Handshake Authentication Protocol)

CHAPは、PAPの弱点を克服した、より安全な認証方式です。パスワードそのものをネットワークに流すことはしません。

仕組みのイメージ:
1. サーバーからの「質問（チャレンジ）」: サーバーが、毎回ランダムな「合言葉（チャレンジ値）」を利用者に送ります。
2. 利用者からの「答え（レスポンス）」: 利用者のコンピューターは、その合言葉と自分のパスワードを使って計算（ハッシュ化）し、その「計算結果（レスポンス）」だけをサーバーに送り返します。
3. サーバーでの「答え合わせ」: サーバー側も、同じ合言葉と（事前に保存してある）利用者のパスワードで同じ計算を行います。両者の計算結果が一致すれば、「この人は正しいパスワードを知っている本人だ」と判断し、認証成功となります。
例えるなら…
秘密の合言葉を知っているか試すようなものです。「山」と言われたら「川」と返す、というルールを事前に共有しておき、本番では「山」という質問だけを送ります。パスワード（合言葉そのもの）は会話に出てこないので、やり取りを盗み聞きされても安全です。

プロトコル	パスワードの送信方法	安全性	特徴
PAP	そのまま送る（平文）	低い ✗	シンプルだが盗聴に弱い。
CHAP	パスワードは送らず、計算結果を送る	高い ○	サーバーからのチャレンジに応答する形で認証。より安全。

ポイント：
安全なリモートアクセスでは、パスワードそのものを送らないCHAPが使われるのが基本です。VPNでトンネルを確保し、その入口でCHAPによって本人確認を行う、という流れをイメージしましょう。

認証サーバーの役割と仕組み│RADIUS・DIAMETERで本人確認を一元管理

さて、VPNで安全なトンネルを作り（IPsecなど）、その入口で本人確認（CHAPなど）を行う流れができました。個人や数人規模ならこれでも十分ですが、数百人、数千人規模の企業ではどうでしょう？

営業担当のAさん、開発担当のBさん、経理担当のCさん…と、たくさんの社員がそれぞれのIDとパスワードでアクセスしてきます。VPNの入口となる機器（VPNサーバー）が、これらすべての社員のIDとパスワードを一つひとつ覚えて管理するのは非常に大変で、セキュリティのリスクも増大します。

そこで登場するのが、「認証」を専門に担当する認証サーバーです。その代表的なプロトコルがRADIUSとDIAMETERです。

受付を専門家（RADIUSサーバー）に任せる

認証サーバーは、例えるなら会員制施設の「総合受付」です。

VPNサーバーは、利用者からアクセス要求が来ると、自分で本人確認をするのではなく、「この人、会員（社員）ですか？」という問い合わせを認証サーバーに丸投げ（転送）します。認証サーバーが会員リスト（ユーザー情報データベース）と照合して「OKです」「NGです」と返答し、それを受けてVPNサーバーが利用者をトンネルに通すか、ブロックするかを決定します。

このように役割を分担することで、以下のようなメリットが生まれます。

情報の一元管理: ユーザー情報を認証サーバーでまとめて管理できるため、追加や削除、パスワード変更が楽になります。
セキュリティ向上: 認証に関する情報を一か所に集約できるため、管理がしやすく、セキュリティポリシーも適用しやすくなります。
柔軟な構成: 複数のVPNサーバーや無線LANアクセスポイントから、一つの認証サーバーを参照する構成が可能です。

RADIUSとその後継DIAMETER

この認証サーバーとVPNサーバーなどが連携するためのルールがRADIUSとDIAMETERです。

プロトコル	特徴	通信の信頼性	主な用途
RADIUS (Remote Authentication Dial-In User Service)	古くから使われている認証プロトコルのデファクトスタンダード。UDPを使い、シンプルで動作が軽い。	UDPのため、メッセージが届いたかの確認（到達確認）は行わない。	VPN、無線LAN（Wi-Fi）、ダイヤルアップ接続など、幅広い認証シーン。
DIAMETER	RADIUSの後継として開発されたプロトコル。TCPやSCTPを使い、より高機能で信頼性が高い。	TCP/SCTPのため、メッセージの到達確認や順序保証、再送制御などを行う。	携帯電話ネットワーク（4G/LTE/5G）など、より高い信頼性が求められる大規模なネットワーク。

ポイント：
まずは「RADIUSは認証を専門に行うサーバー（と連携する仕組み）」と覚えましょう。多数のユーザーの本人確認を効率化・一元化するための重要な役割を担っています。DIAMETERは、そのRADIUSをさらにパワーアップさせた、より信頼性の高い後継規格という位置づけです。

高度な認証ケルベロスと管理領域レルム│SSO実現の鍵

これまでは、利用者がIDとパスワードを使って本人確認を行う仕組みを見てきました。しかし、利用するサービス（ファイルサーバー、メールサーバー、勤怠管理システムなど）が増えるたびに、それぞれでIDとパスワードを入力するのは非常に面倒ですし、パスワードの使い回しによるセキュリティリスクも高まります。

この「面倒」と「危険」を同時に解決するのが、ケルベロス（Kerberos）認証という仕組みです。

ケルベロス認証：一度の認証でどこでもアクセス「チケット制遊園地」

ケルベロス認証は、一度の本人確認で、許可された複数のサービスを都度のパスワード入力なしに利用できる「シングルサインオン（SSO）」を実現するための代表的な技術です。

これを「チケット制の遊園地」に例えてみましょう。

入場ゲートで「フリーパス」をもらう（認証サーバー）
最初に遊園地の入場ゲートで、あなたの顔写真付き身分証（＝パスワード）を提示します。受付係はあなたの本人確認をすると、園内で一日中使える「フリーパス（TGT: Ticket Granting Ticket）」を発行してくれます。この最初の認証さえ済ませてしまえば、身分証（パスワード）を何度も提示する必要はもうありません。
乗り物乗り場で「アトラクション券」をもらう（チケット許可サーバー）
次に、ジェットコースターに乗りたくなったとします。あなたはいきなりジェットコースターの列に並ぶのではなく、近くのチケット発券所に行き、先ほどの「フリーパス」を見せます。すると係員は、「この人は正規の入場者だな」と確認し、ジェットコースター専用の「アトラクション券（サービスチケット）」を発行してくれます。
「アトラクション券」で乗り物に乗る（各種サーバー）
あなたはアトラクション券を持ってジェットコースターの乗り場へ行きます。係員にその券を渡すだけで、スムーズに乗ることができます。メリーゴーラウンドに乗りたい時も同様に、フリーパスを使ってメリーゴーラウンド専用の券をもらい、それを使って乗ります。

この仕組みにより、パスワードという最も重要な情報は最初の1回しか使われず、ネットワーク上を何度も流れることがないため、非常に安全です。

レルム：認証システムが管理する「縄張り」

ケルベロス認証について調べていると、レルム（Realm）という言葉が出てきます。これは、一つのケルベロス認証システムが管理している範囲（領域）のことを指します。

例えるなら…
先ほどの遊園地の例で言えば、「東京遊園地」という一つの遊園地全体が、一つのレルムです。「東京遊園地」の認証システムは、「大阪遊園地」の利用者のことまでは管理していません。
実用例:
企業のネットワークでは、Active Directoryの「ドメイン」が、ほぼレルムと同じ意味で使われます。「本社ドメイン」「支社ドメイン」のように、管理する範囲を分けて運用します。異なるレルム（ドメイン）間で信頼関係を結ぶことで、本社にいながら支社のサーバーにアクセスする、といったことも可能になります。

ポイント：
ケルベロス認証は、チケットを使って安全で便利なシングルサインオンを実現する仕組みです。そして、その認証システムが管理する縄張りがレルムである、と覚えておきましょう。

総まとめ：図解でスッキリ！リモートアクセスの全体像と通信の流れ

これまで、リモートアクセスを支える様々なセキュリティ技術を一つずつ見てきました。「VPN」「IPsec」「CHAP」「RADIUS」「ケルベロス」…。最後の仕上げに、これらの技術がどのように連携し、一つの安全な通信を成り立たせているのか、具体的なシナリオに沿って全体像を掴みましょう。

シナリオ：あなたがカフェから、会社のファイルサーバーにアクセスする

この一枚の図が、今回の解説の集大成です。この流れをステップごとに見ていきましょう。

ステップ1：VPNトンネルの確立

あなたのPC ⇔ 会社のVPNサーバー
目的: インターネットという公道に、安全な専用トンネルを作る。
使われる技術: VPNの実現方法として、最も強力なIPsecが通信をまるごと暗号化し、トンネルを構築します。

ステップ2：本人確認の要求と転送

あなたのPC → 会社のVPNサーバー → 認証サーバー
目的: 「この通信は許可された社員からのものか？」を確認する。
使われる技術:
1. あなたのPCからID/パスワード情報が送られます。このとき、パスワードをそのまま送らない安全なCHAPが使われます。
2. VPNサーバーは本人確認を自分で行わず、認証の専門家であるRADIUSサーバーに「この人、確認お願いします」と要求を転送します。

ステップ3：本人確認の実行と許可

認証サーバー → 会社のVPNサーバー → あなたのPC
目的: 登録情報と照合し、アクセスの可否を決定する。
使われる技術:
1. RADIUSサーバーが、ユーザーデータベースと照合して本人確認を行います。
2. 認証OKなら、その結果がVPNサーバーに返され、VPNサーバーはあなたのPCをトンネル内に正式に受け入れます。これで、あなたは会社のネットワークの一員となりました。

ステップ4：社内サービスへのアクセス（シングルサインオン）

あなたのPC ⇔ ケルベロス認証サーバー ⇔ ファイルサーバー
目的: いちいちパスワードを入力せず、社内の各種サービスを安全に利用する。
使われる技術:
1. 会社のネットワーク（レルム）に入ったあなたは、まずケルベロス認証で「チケット」を発行してもらいます。
2. ファイルサーバーにアクセスしたい時、その「チケット」を見せるだけで、パスワード入力なしでアクセスが許可されます。メールサーバーや他のシステムにアクセスする際も同様です。

まとめ：それぞれの役割分担

これで、すべての技術の役割が明確になったはずです。

VPN/IPsec: 安全な「道」を作る。
PPP/PPPoE/PPTP: 道を作るための「工法」（基礎技術や旧技術）。
PAP/CHAP: その道の入口に立つ「門番」のやり方（CHAPが優秀）。
RADIUS/DIAMETER: 門番からの問い合わせに対応する「総合受付（本人確認センター）」。
ケルベロス認証: 入場後に園内の各施設を回るための「フリーパス（チケット）」発行所。
レルム: 総合受付やフリーパスが有効な「敷地全体」。

これらの技術が適切な場所で連携・機能することで、私たちはいつでもどこでも、安全で便利なリモートアクセスを利用できるのです。